La prévention de la fraude pour un internet heureux.

Bravo! Vous avez été sélectionné pour recevoir une croisière de luxe gratuite aux Bahamas! Il s'agit d'une offre exclusive et vous avez été choisi en raison de votre fidélité à notre agence de voyages. Pour réclamer votre croisière gratuite, cliquez simplement ICI. Vite! Cette offre est valable pour une durée limitée et sous réserve de disponibilité. Ne manquez pas cette incroyable opportunité de vivre les vacances de votre vie !

Ok, ok, vous m’avez eue. Il n'y a pas de croisière gratuite aux Bahamas, et on n’est même pas une agence de voyages. En fait, vous aurez peut-être remarqué que ceci n’est pas un courriel (mais plutôt un blogue)! Il y a de fortes chances que vous en ayez déjà reçu un comme celui-ci, par contre. La fraude est un problème qui sévit dans la société depuis le début de la civilisation. En fait, le mot «fraude» vient du latin «fraus», un mot utilisé au Moyen Âge pour décrire la tromperie criminelle. Et même si Rome n’est plus (métaphoriquement parlant), la pratique de la fraude continue son existence. En 2021, par exemple, le Centre antifraude du Canada a signalé au moins 379 millions de dollars de pertes déclarées liées à la cyberfraude.¹ En tant que fournisseur de services internet, notre objectif est d'essayer de créer une expérience internet plus sûre et plus joyeuse en apprenant aux autres comment devenir compétents dans l'identification et le signalement de la cyberfraude et en plaidant pour une infrastructure plus sûre afin de protéger les populations les plus vulnérables contre les victimes de ce genre de gestes pas très gentils.

Après tout, internet devrait être un endroit heureux, plein de possibilités et d'accès à l'égalité d’opportunité. On trouve ça important de faire notre part pour éduquer et informer autrui, alors il est temps de se lancer dans le monde de la cyberfraude.

Pour éviter d'être fraudé, il est important de prendre des mesures pour protéger vos informations privées. Même dans les cas où des données privées ont été compromises (c'est-à-dire que vos informations personnelles ont été consultées par quelqu'un qui pourrait vouloir les utiliser à des fins malveillantes), il y a toujours des mesures à prendre pour éviter que cette violation ne soit utilisée contre vous. Par exemple, le vol d'identité consiste simplement à se faire prendre ses informations personnelles, tandis que la fraude à l'identité consiste à utiliser activement vos informations personnelles pour commettre un crime. Vous pouvez donc comprendre pourquoi la prévention de la fraude commence en vous armant des connaissances nécessaires pour protéger vos informations privées en ligne.

Le Centre antifraude du Canada a signalé que la fraude à l'identité était le type de fraude le plus courant, avec 30 849 personnes ayant signalé ce crime en 2021 seulement. La plupart d'entre nous ont probablement reçu un appel d'un numéro inconnu prétendant être un représentant d'Amazon qui s'inquiète de votre achat du dernier iPhone ou peut-être même de la GRC vous faisant savoir qu'il y a un mandat d'arrêt contre vous. Si vous n'aviez jamais reçu d'appel comme celui-ci auparavant, on ne peut pas vous blâmer d’avoir cru que votre compte Amazon (ou votre innocence) a été compromis.

Par SMS ou par e-mail, il est souvent plus facile de savoir quand quelqu'un essaie de vous arnaquer. Souvent, ces messages sont truffés de fautes de frappe et une rapide recherche inversée du numéro ou de l'adresse e-mail sur Google vous montrera qu'il n'est pas associé à l'institution réelle qu'il prétend être. Par exemple, voici un e-mail que j'ai reçu de « T-Mobile » m'informant que mon récent achat (qui n'a jamais eu lieu) m'a permis de gagner un prix de 100 $. Comme vous pouvez le voir, Gmail avait déjà signalé cet e-mail comme spam, donc je ne l'avais même jamais vu jusqu'à ce que je plonge dans mon dossier spam pour vous trouver de jolis exemples. De plus, l'adresse e-mail dont il provient n'est clairement pas associée à T-Mobile. Tout ça, associé à la ponctuation mal placée et à la grammaire douteuse, m’indique que je ne suis malheureusement pas sur le point de recevoir 100 $..

Ceci étant dit, des e-mails comme celui-ci peuvent parfois être convaincants, par exemple lorsque des fraudeurs ont créé un faux site web complet qui ressemblait comme deux gouttes d’eau à celui de PayPal et ont commencé à envoyer des liens à des gens pour qu’ils et elles se connectent afin d'accepter un paiement en attente.² C'est ce que l'on appelle généralement une escroquerie par hameçonnage, une méthode que les fraudeurs utilisent fréquemment parce qu’il est facile de collecter les informations privées de quelqu'un à des fins néfastes - il suffit parfois d'un seul petit clic sur un bouton.

Une escroquerie par hameçonnage est une sorte de communication dans laquelle le but est que le destinataire clique sur un lien et fournisse des informations personnelles. Parfois, l'objectif en soi est tout simplement de faire cliquer sur le lien afin que des logiciels malveillants puissent être installés sur votre appareil et, à partir de là, les fraudeurs peuvent collecter ce dont ils ont besoin via divers logiciels espions. Un exemple peut être vu dans le film de braquage de 2018 Ocean's 8 où NineBall (jouée par Rihanna) envoie à un employé d'une société de sécurité un lien vers un faux site web qu'elle a créé et dédié aux photos de sa race de chien préférée. L'homme ne peut tout simplement pas résister et en quelques secondes, NineBall a un accès et un contrôle complets sur son ordinateur de travail qu'elle utilise pour ensuite accéder au système de sécurité du Metropolitan Museum of Art (faut croire que payer l’admission était de trop).

En bref, une faiblesse a été trouvée (l'amour de l'employé pour les Wheaten Terriers) puis exploitée. De nombreuses escroqueries par hameçonnage sont aussi simples que ça, s'attaquant au désir de ceux qui a) gagnent de l'argent ou b) empêchent la perte d'argent. C'est pourquoi les e-mails frauduleux sont souvent très urgents, arborant des minuteries indiquant le temps restant avant que votre prix soit envoyé à quelqu’un d’autre, ou encore vous disant d'agir rapidement pour éviter une perte monétaire. En réalité, des entreprises comme Amazon, PayPal et même oxio ne vous demanderont jamais de fournir des informations sensibles telles que les informations de votre carte de crédit par SMS ou par courriel. JAMAIS. Une bonne règle de base consiste à toujours vérifier l'adresse courriel de l'expéditeur en accédant directement au site web de l'entreprise et en vous connectant à votre compte pour afficher toute activité récente ou en contactant l'équipe d'assistance pour confirmer la validité du courriel.

Disons que, malgré votre prudence, vous cliquez accidentellement sur un lien que vous pensez être un lien d’hameçonage (oups). En fait, admettons que vous avez aussi entré des informations importantes telles que votre e-mail et votre mot de passe, et peut-être même les informations de votre carte de crédit. Il est normal de paniquer dans une telle situation, mais ce n'est pas non plus la fin du monde. Voici quelques exemples de scénarios et les étapes suggérées pour vous protéger après coup.

Juste pour être sûr, car cliquer sur un lien peut installer des logiciels malveillants sur un appareil (comme dans l'exemple d’Ocean's 8), déconnectez l'appareil du réseau wifi dès que vous le pouvez pour empêcher tout logiciel malveillant de se déplacer via le réseau vers d'autres appareils qui y sont connectés. Une fois que c’est fait, sauvegardez tous vos fichiers importants sur une clé USB, car ça ne nécessite pas de connexion réseau, puis exécutez une analyse de votre appareil à la recherche de tout logiciel malveillant. Pour être certain, exécuter cette analyse sur tous vos appareils qui étaient sur le réseau wifi est votre meilleur recours. Cette dernière partie peut être l'étape la plus difficile parce que c’est pas tout le monde qui sait exactement comment faire une analyse approfondie des logiciels malveillants. Ça peut valoir la peine de prendre rendez-vous chez un·e professionnel·le.

Oh, et n'oubliez pas, changez vos mots de passe !

Les étapes ci-dessus s'appliquent toujours ici, mais il y a maintenant l'étape supplémentaire de réparer ou d'empêcher toute activité criminelle que les fraudeurs peuvent maintenant tenter avec vos informations personnelles. Par exemple, si des informations de carte de crédit ont été fournies, appelez immédiatement votre banque pour signaler l'incident et verrouillez votre carte. Ou, si vous avez fourni des identifiants de connexion à un site web, contactez immédiatement leur support et, si vous êtes toujours connecté à votre compte, modifiez immédiatement le mot de passe. Par courtoisie, et pour protéger vos ami·es et votre famille, faites-leur savoir que votre compte a été compromis. Ça arrive souvent que les pirates tentent de les cibler également sachant que la plupart d’entre nous ne remettent pas en question l'ouverture d'un lien qui leur a été envoyé par une personne de confiance. À moins que ce ne soit votre oncle bizarre dont vous ignorez généralement les publications sur Facebook de toute façon.

Pour prendre des mesures préventives, l'authentification à 2 facteurs (2FA) est un paramètre qui peut être activé pour de nombreux sites de médias sociaux tels que Facebook ou Twitter. Il s'agit d'un processus de sécurité qui vous invite à utiliser deux formes d'identification différentes pour accéder à votre compte en ligne. Par exemple, il peut vous demander un code PIN ou un code qui va à un appareil distinct, comme votre téléphone. Il peut être judicieux d'activer ce paramètre pour rendre votre compte encore plus sécurisé.

Ça se peut que vous vous demandiez pourquoi un fournisseur de services internet investit dans la protection de votre sécurité sur internet. Et même si vous ne vous posiez pas la question, je vais vous le dire quand même. Avant tout, on fournit un service et on veut que ce service soit agréable, que ce soit par des vitesses constantes, une connexion stable, par notre support client ou, dans ce cas-ci, par une sensibilisation pour vous protéger, vous et vos proches, contre les attaques en ligne.

On propose déjà de notre côté quelques options pour essayer de minimiser les risques pour ceux qui utilisent nos services. Par exemple, les clients peuvent opter pour eero Plus, un ensemble qui fournit des fonctionnalités de sécurité de routeur supplémentaires telles qu'un logiciel anti-maliciel, un VPN crypté, le blocage des publicités et bien plus encore.³

Au niveau de l'infrastructure, on prend également des mesures pour essayer de protéger nos clients contre les menaces de cybersécurité, telles que le blocage de certains ports et du trafic entrant. Par exemple, SMTP (Simple Message Transfer Protocol) est un protocole utilisé pour envoyer et recevoir des courriels sur internet.⁴ La raison pour laquelle on bloque ce port remonte aux stratagèmes d’hameçonnage mentionnés tout à l’heure. Supposons (encore une fois) que vous cliquiez sur l'un d'entre eux et que, sans le savoir, un logiciel malveillant soit installé sur votre appareil, se propageant ensuite sur votre réseau. Le virus ou le logiciel malveillant peut alors facilement convertir votre appareil en relais SMTP et l'utiliser pour diffuser des centaines de milliers de liens d’hameçonnage à d'autres utilisateurs.

Les ports SMTP peuvent même être ciblés pour quelque chose appelé « attaques par déni de service distribué » (DDoS en anglais), où plusieurs appareils envoient en simultané des demandes pour submerger un serveur, ce qui le fait ensuite planter. Il n'y a pas si longtemps, un garçon de 15 ans au pseudonyme Mafiaboy a fait exactement ça sur plusieurs sites de commerce électronique comme eBay, Amazon et même le moteur de recherche Yahoo.⁵ Cette attaque DDoS a rendu Yahoo inutile pendant presque une heure entière et pour une grande entreprise comme Yahoo, être inaccessible pendant une heure, c’est un gros problème! Pour cette raison, oxio ainsi que d'autres fournisseurs internet bloquent l'ouverture de ce port particulier, bien que vous puissiez toujours envoyer et recevoir des e-mails en toute sécurité sur votre réseau.

Et bien qu'il y ait beaucoup de choses qu’on peut faire et fournir en tant que FAI pour réduire les menaces de cybersécurité sur notre réseau, être éduqué sur la façon de détecter et de prévenir la fraude avant qu'elle ne se produise peut créer un internet plus sécuritaire pour tout le monde.

Merci à Danilo, Savannah et Shion pour leurs commentaires et leur soutien. Merci également à Matthieu Louis pour son expertise technique !